AWS Private CA Pianifica il tuo metodo di revoca dei certificati - AWS Private Certificate Authority
Requisiti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Private CA Pianifica il tuo metodo di revoca dei certificati

Durante la pianificazione della privacy PKI CA privata AWS, è necessario considerare come gestire le situazioni in cui non si desidera più che gli endpoint considerino attendibile un certificato emesso, ad esempio quando viene esposta la chiave privata di un endpoint. Gli approcci più comuni a questo problema consistono nell'utilizzare certificati di breve durata o nel configurare la revoca dei certificati. I certificati di breve durata scadono in un periodo di tempo così breve, in ore o giorni, che la revoca non ha senso, poiché il certificato diventa non valido all'incirca nello stesso tempo necessario per notificare un endpoint di revoca. Questa sezione descrive le opzioni di revoca per i CA privata AWS clienti, inclusa la configurazione e le migliori pratiche.

I clienti che cercano un metodo di revoca possono scegliere Online Certificate Status Protocol (OCSP), gli elenchi di revoca dei certificati (CRLs) o entrambi.

Nota

Se crei la tua CA senza configurare la revoca, puoi sempre configurarla in un secondo momento. Per ulteriori informazioni, consulta Aggiorna una CA privata in AWS Private Certificate Authority.

  • Protocollo sullo stato del certificato online () OCSP

    CA privata AWS fornisce una OCSP soluzione completamente gestita per notificare agli endpoint che i certificati sono stati revocati senza che i clienti debbano gestire autonomamente l'infrastruttura. I clienti possono OCSP attivarne uno nuovo o esistente CAs con un'unica operazione utilizzando la CA privata AWS console, il APICLI, o tramite. AWS CloudFormation Mentre CRLs vengono archiviati ed elaborati sull'endpoint e possono diventare obsoleti, i requisiti di OCSP archiviazione ed elaborazione vengono gestiti in modo sincrono sul backend del risponditore.

    Quando OCSP abiliti una CA, CA privata AWS include il URL OCSP risponditore nell'estensione Authority Information Access (AIA) di ogni nuovo certificato emesso. L'estensione consente a client come i browser Web di interrogare il risponditore e determinare se un certificato CA subordinato o di entità finale può essere considerato attendibile. Il risponditore restituisce un messaggio di stato firmato crittograficamente per garantirne l'autenticità.

    Il CA privata AWS OCSP risponditore è conforme alla norma 5019. RFC

    OCSPconsiderazioni

    • OCSPi messaggi di stato vengono firmati utilizzando lo stesso algoritmo di firma per cui è stata configurata la CA emittente. CAscreati nella CA privata AWS console utilizzano l'algoritmo di SHA256WITHRSA firma per impostazione predefinita. Altri algoritmi supportati sono disponibili nella CertificateAuthorityConfigurationAPIdocumentazione.

    • APIPassthroughe i modelli di CSRPassthrough certificato non funzioneranno con l'AIAestensione se il OCSP risponditore è abilitato.

    • L'endpoint del OCSP servizio gestito è accessibile sulla rete Internet pubblica. I clienti che desiderano OCSP ma preferiscono non avere un endpoint pubblico dovranno gestire la propria infrastruttura. OCSP

  • Elenchi di revoca dei certificati () CRLs

    A CRL contiene un elenco di certificati revocati. Quando si configura una CA per la generazioneCRLs, CA privata AWS include l'estensione CRLDistribution Points in ogni nuovo certificato emesso. Questa estensione fornisce URL ilCRL. L'estensione consente a client come i browser Web di interrogare CRL e determinare se un certificato CA di entità finale o subordinato può essere considerato attendibile.

Poiché un client deve scaricarli CRLs ed elaborarli localmente, il loro utilizzo richiede più memoria rispetto a. OCSP CRLspossono consumare meno larghezza di banda di rete perché l'elenco CRLs viene scaricato e memorizzato nella cache, pertanto verifica lo stato di OCSP revoca per ogni nuovo tentativo di connessione.

Nota

Entrambi OCSP CRLs presentano un certo ritardo tra la revoca e la disponibilità del cambio di stato.

  • OCSPle risposte possono richiedere fino a 60 minuti per riflettere il nuovo stato quando si revoca un certificato. In generale, OCSP tende a supportare una distribuzione più rapida delle informazioni di revoca perché, a differenza di quelle CRLs che possono essere memorizzate nella cache dai client per giorni, OCSP le risposte in genere non vengono memorizzate nella cache dai client.

  • A CRL viene in genere aggiornato circa 30 minuti dopo la revoca di un certificato. Se per qualsiasi motivo un CRL aggiornamento fallisce, CA privata AWS effettua ulteriori tentativi ogni 15 minuti.

Requisiti generali per le configurazioni di revoca

I seguenti requisiti si applicano a tutte le configurazioni di revoca.

  • Una configurazione che disabilita CRLs o OCSP deve contenere solo il Enabled=False parametro e avrà esito negativo se sono inclusi altri parametri come CustomCname oExpirationInDays.

  • In una CRL configurazione, il S3BucketName parametro deve essere conforme alle regole di denominazione dei bucket di Amazon Simple Storage Service.

  • Una configurazione contenente un parametro Canonical Name (CNAME) personalizzato per CRLs o OCSP deve essere conforme a RFC7230 restrizioni sull'uso di caratteri speciali in a. CNAME

  • In una OCSP configurazione CRL or, il valore di un CNAME parametro non deve includere un prefisso di protocollo come «http://» o «https://».

Argomenti